Sì. è successo di nuovo. I bolzanini e le bolzanine si trovano a dover affrontare un'altra sanzione del Garante Privacy. Questa volta la sanzione ammonta a € 32.000,00

Il Garante per la protezione dei dati personali ha emesso il provvedimento n. 531 il 25 settembre 2025, imponendo una severa sanzione alla Provincia Autonoma di Bolzano (1), accompagnata dall'ordine di sospensione dell'intero sistema informativo costituito da 124 telecamere di lettura targhe installate nei principali valichi dolomitici. Sebbene il sistema fosse formalmente finalizzato al monitoraggio dei flussi di traffico e all'adozione di misure ambientali, è stato giudicato non conforme alla normativa di protezione dei dati personali, portando all'imposizione di una sanzione amministrativa pecuniaria pari a 32.000 euro.

• Leggi qui l'intero provvedimento del Garante · Registro dei provvedimenti n. 531 del 25 settembre 2025 (link rimosso: s.v. infra "replica")

1. Istruttoria

L'istruttoria, avviata a seguito di articoli di stampa, ha messo in luce diverse violazioni strutturali. Una delle principali criticità emerse è stata l'assenza di una base giuridica adeguata; infatti, la normativa provinciale citata non delineava in modo chiaro né le finalità né le condizioni per l'utilizzo dei sistemi di lettura targhe. Inoltre, è stata riscontrata una sproporzione tra il trattamento dei dati e le finalità dichiarate, poiché i dati pseudonimizzati venivano conservati per un periodo di fino a due anni, giudicato eccessivo e privo di una giustificazione documentata.

Il Garante ha altresì criticato la scarsa qualità delle informative stradali destinate agli interessati, le quali risultavano insufficienti in merito ai dati fondamentali, quali le finalità del trattamento, i diritti degli interessati e i tempi di conservazione dei dati stessi.

La Provincia sosteneva inoltre che i dati raccolti non fossero da considerarsi "personali", classificandoli come "anonimi" nonostante la semplice mascheratura delle targhe rendesse possibile l'identificazione dei veicoli e dei rispettivi proprietari. Questo ha sollevato la questione della pseudonimizzazione, che non esclude comunque l'applicazione del GDPR.

• Leggi qui (link privo di virus)

Un ulteriore aspetto critico concerne la contitolarità del trattamento tra la Provincia di Bolzano e quella di Trento, le quali hanno collaborato nella gestione del progetto senza formalizzare un accordo scritto ai sensi dell’articolo 26 del Regolamento. Inoltre, è emersa l'assenza di una valutazione d’impatto sulla protezione dei dati (DPIA), nonostante il trattamento su larga scala e attraverso dispositivi automatizzati di identificazione veicolare rendesse obbligatoria tale valutazione.

In considerazione di quanto sopra, il Garante ha disposto non solo l’applicazione della sanzione pecuniaria, ma anche l’ordine di cancellazione integrale dei dati raccolti e il divieto di qualsiasi ulteriore trattamento.

2. Un precedente

La delibera rappresenta un importante precedente per le pubbliche amministrazioni che intendano implementare sistemi di analisi del traffico basati su numeri di targa o altre informazioni identificative veicolari.

Di particolare rilevanza quanto "opportunamente" indicato dal Garante nel provvedimento sanzionatorio:

"La Provincia ha, altresì, dichiarato di aver sostituto gli iniziali cartelli di avvertimento con “gli attuali cartelli contenenti l’informativa di primo livello [, che] sono stati installati tra il XX ed il XX, in sostituzione dei precedenti cartelli”, ovvero successivamente all’avvio dell’istruttoria da parte dell’Autorità (v. all. XX alla nota del XX).

Anche tale nuova versione dell’informativa di primo livello sul trattamento dei dati non risulta pienamente conforme ai requisiti previsti dall’art. 5, par. 1, lett. a), e 13 del Regolamento, in quanto:

non menziona la Provincia di Trento quale contitolare del trattamento (cfr. art. 13, par. 1, lett. a), del Regolamento; v. anche par. 3.6 del presente provvedimento);

menziona erroneamente il Servizio Strade della Provincia quale titolare del trattamento e la stessa Provincia quale Responsabile della protezione dei dati (cfr. art. 13, par. 1, lett. a) e b), del Regolamento non menziona i diritti degli interessati di cui agli artt. 15-22 del Regolamento (cfr. art. 13, par. 2, lett. b), del Regolamento);

non fa riferimento al periodo di conservazione dei dati pari a due anni dalla raccolta, in quanto informazione che potrebbe risultare inaspettata per gli interessati (cfr. art. 5, par. 1, lett. a), del Regolamento)"

Questa situazione conferma che la linea di demarcazione tra innovazione nella mobilità e videosorveglianza pubblica è sempre più labile. La semplice pseudonimizzazione non è sufficiente a sottrarre i dati alla protezione del GDPR, e la tecnologia dei varchi elettronici richiede un'attenzione costante riguardo alla conformità documentale, in particolare in relazione alla base giuridica, alla DPIA (previo coinvolgimento del proprio Data Protection Officer), agli accordi di contitolarità e ai tempi di conservazione. È altresì fondamentale predisporre informative chiare, a partire dai segnali stradali, e considerare l'impatto futuro del Regolamento (UE) sull'AI Act in questa complessa materia.

3. Il punto più rilevante

   
   

La vicenda ha generato un ampio dibattito non solo in ambito giuridico, ma anche tra i cittadini dell'Alto Adige, i quali sono sempre più consapevoli dell'importanza di salvaguardare i propri dati personali. La sensibilizzazione sulla privacy si è intensificata negli ultimi anni e incidenti (2) come questi risultano cruciali per educare le amministrazioni pubbliche sull'obbligo di conformarsi alle normative di protezione dei dati ma anche per capire e comprendere che la governance dei propri trattamenti richiede non solo di una maggiore responsabilizzazione ma di competenze tecniche specifiche.

In questo contesto, il Data Protection Officer (DPO) riveste un ruolo fondamentale e cruciale. Egli non è solo un custode della legalità, ma deve fungere da catalizzatore per una cultura della privacy all'interno delle amministrazioni, promuovendo valori di trasparenza, responsabilità e rispetto per i diritti dei cittadini. La sua funzione è intrinsecamente proattiva, richiedendo non solo un’accurata valutazione delle pratiche di trattamento dei dati su ogni singola richiesta da parte dell'Amministrazione, ma anche un’analisi costante delle situazioni emergenti, al fine di anticipare possibili problematiche e garantire una piena compliance alle normative.

La vigilanza e la supervisione esercitate dal DPO devono tradursi in un'azione concreta (non solo di risultato e sulla base di una specifica richiesta) volta a garantire che le amministrazioni pubbliche non solo rispettino le prescrizioni normative, ma che le interpretino e le applichino in un’ottica che tuteli i diritti fondamentali degli individui.

Secondo il Garante "l’insufficiente trasparenza nei confronti degli interessati risulta poi complessivamente aggravata dalla circostanza che [...] la base giuridica sulla quale è stato fondato il trattamento non può considerarsi qualitativamente idonea a soddisfare i requisiti previsti dal quadro giuridico europeo e nazionale in materia di protezione dei dati, non contenendo la stessa una puntuale disciplina e descrizione dei dati oggetto di trattamento, dei soggetti interessati e delle operazioni di trattamento consentite".

Questo episodio di grave violazione della privacy degli automobilisti dimostra che l'innovazione tecnologica deve procedere di pari passo con una rigorosa attenzione ai diritti individuali. Le amministrazioni pubbliche devono adottare un approccio proattivo e informato in collaborazione al proprio Data Protection Officer, assicurando che ogni progetto di monitoring e raccolta dati sia sottoposto a una valutazione accurata dei rischi e delle implicazioni sulla privacy, nel rispetto delle normative vigenti.

Immagine di copertina

Autore: Marion Lafogler

Copyright: IDM Südtirol/Marion Lafogler

(1) Provincia Autonoma di Bolzano ai sensi dell'art. 114 Costituzione italiana, non come amministrazione provinciale.

(2) Quale sinonimo di "evento, avvenimento, accaduto, imprevisto, caso, episodio" e non di "incident" ovvero "incidente informatico".

La replica

In merito ai fatti analizzati nell’articolo pubblichiamo, ai sensi dell’art. 8 L. 47/1948 e più in generale in ottemperanza del formante giuridico, la replica inviata via PEC alla nostra Amministrazione dall’Avv. Enrico Pelino e Avv.ssa Luciana Grieco, incaricati dalla Provincia Autonoma di Bolzano dell’opposizione giudiziale al provvedimento a cui si fa riferimento nell’articolo:

“Si informa che l’ordinanza-ingiunzione n. 531 del 25.9.2025 del Garante per la protezione dei dati personali emessa nei confronti della Provincia di Bolzano è stata opposta avanti al Tribunale competente in data 6.11.2025, dunque la correttezza giuridica del provvedimento è sub iudice.

Inoltre, il Tribunale ne ha disposto, per il momento, la sospensione inaudita altera parte, sospensione che si applica tanto alla sanzione di € 32.000 quanto a ogni altro elemento dell’ordinanza-ingiunzione. Per l’effetto, il Garante ne ha rimosso il testo dal proprio sito istituzionale.

Appare pertanto assai prematuro trarre conclusioni in diritto di qualsiasi tipo in merito ad asserite violazioni dell’Ente.

Ciò osservato, si contesta la correttezza giuridica dell’assunto cardine tanto del provvedimento opposto quanto dell’articolo qui oggetto di replica, secondo il quale “i dati pseudonimizzati sono, sempre e comunque, dati personali”. Tale assunto risulta infatti contraddetto dal formante giuridico della Corte di giustizia dell’Unione europea, cfr. sentenze del 26.4.2023 Deloitte, T-557/20, e del 4.9.2025, appello Deloitte, C-413/23 P, cui il Garante è peraltro tenuto a conformarsi.

Altrettanto erronea appare altresì l’affermazione secondo la quale la base giuridica per il trattamento di dati comuni dovrebbe contenere “una puntuale disciplina e descrizione dei dati oggetto di trattamento, dei soggetti interessati e delle operazioni di trattamento consentite", tale livello di dettaglio essendo prescritto unicamente per i dati particolari (e solo in alcuni casi), ai sensi dell’art. 2- sexies Codice privacy.

Preme in ogni caso rassicurare sul fatto che la Provincia ha dato scrupolosa applicazione alla normativa di settore, applicando soluzioni di minimizzazione così radicali da far escludere un trattamento di dati personali.

Le targhe infatti sono cancellate – by design – decorsi al massimo 60 secondi dalla loro acquisizione (tempo, si converrà, minimale) e non sono mai raccolte le informazioni ulteriori (visure PRA) necessarie all’individuazione dei titolari dei veicoli. Risulta perciò fattualmente inesatta, e idonea a ingenerare confusione nel lettore, l’asserzione secondo la quale “la semplice mascheratura delle targhe rende[va] possibile l'identificazione dei veicoli e dei rispettivi proprietari”. Non è emerso in un anno e mezzo di indagini del Garante un solo nome e cognome di soggetto identificato dalla Provincia! Preme, in proposito, sottolineare che il monitoraggio del traffico, infatti, non è monitoraggio di persone, non persegue finalità identificative o sanzionatorie di condotte stradali (lo conferma lo stesso Garante), è anzi espressamente disegnato per non trattare informazioni collegabili a persone, tanto da eliminare prontamente anche i precursori di un ipotetico trattamento”.

Per completezza e correttezza, anche nei confronti dei lettori ai fini di una corretta interpretazione del post, la risposta di Himmel Advisors: